U zabrinjavajućem razvoju događaja za stručnjake za sajber sigurnost širom svijeta, sofisticirana kineska napredna grupa za perzistentne prijetnje (APT) poznata kao Mustang Panda intenzivirala je svoje špijunske kampanje širom Evrope, prvenstveno ciljajući vladine institucije i kompanije za pomorski transport.
Grupa je koristila Korplug učitavače i maliciozne USB diskove kao primarne vektore napada, demonstrirajući trajnu i promjenjivu prijetnju organizacijama u više zemalja, uključujući Norvešku, Holandiju, Veliku Britaniju, Bugarsku, Grčku, Dansku, Poljsku i Mađarsku.
Napadači su pokazali izuzetnu prilagodljivost, kontinuirano eksperimentišući s različitim implementacijama Korplug malware učitavača zasnovanih na različitim programskim jezicima i formatima datoteka.
Ova tehnička svestranost im omogućava da izbjegnu otkrivanje, a istovremeno održe istrajnost u kompromitiranim okruženjima.
Prema nedavnim obavještajnim izvještajima, Mustang Panda ostaje najaktivnija APT grupa povezana s Kinom koja djeluje u Evropi, s dosljednim kampanjama uočenim krajem 2024. i početkom 2025. godine.
Posebno je zabrinjavajuće to što grupa nastavlja koristiti maliciozne USB diskove za početnu infekciju, tehniku koja zaobilazi sigurnosne kontrole mreže iskorištavanjem fizičkog vektora.
Ovaj pristup je posebno efikasan protiv organizacija sa sistemima sa ograničenim pristupom ili strogim protokolima mrežne sigurnosti, jer se oslanja na ljudski element, a ne na ranjivosti mreže.
Istraživači WeLiveSecurity-ja su identifikovali značajnu evoluciju u skupu alata grupe, napominjući da je Mustang Panda proširio svoj arsenal kako bi uključio implementacije Korplug učitavača zasnovane na Delphiju, Gou i Nimu.
Ovaj višejezični pristup omogućava napadačima da prilagode svoj maliciozni softver specifičnim ciljnim okruženjima i komplikuje napore detekcije od strane sigurnosnog softvera koji može biti obučen da identifikuje češće varijante.
Tehnička evolucija Korplug utovarivača
Tehnička sofisticiranost Korplug utovarivača zaslužuje posebnu pažnju.
Tradicionalne Korplug implementacije su obično pisane u C++, ali prelazak Mustang Pande na alternativne programske jezike predstavlja namjernu strategiju izbjegavanja detekcija zasnovanih na potpisima.
Na primjer, varijanta zasnovana na Nimu koristi relativno neuobičajenu prirodu Nim malware-a u poslovnim okruženjima, potencijalno zaobilazeći sigurnosna rješenja koja se fokusiraju na uobičajene obrasce malicioznog koda.
Kada se maliciozni softver isporučuje putem USB pogona, obično koristi tehniku poznatu kao T1091 (Replikacija putem izmjenjivih medija) u okviru MITRE ATT&CK.
Lanac izvršavanja počinje kada korisnik umetne zaraženi disk, pokrećući funkciju automatskog pokretanja ili mameći žrtvu da ručno izvrši prikrivenu datoteku.
Nakon izvršenja, početni program za učitavanje uspostavlja perzistenciju i preuzima Korplug backdoor, koji napadačima pruža mogućnosti udaljenog pristupa.
Sam Korplug backdoor održava sofisticiranu infrastrukturu komande i kontrole, koristeći razne tehnike obfuskacije kako bi sakrio svoju mrežnu komunikaciju .
Najznačajnije je to što su nedavne varijante, uz tradicionalnu Korplug funkcionalnost, uključile i MSC downloadere, proširujući mogućnosti napadača za preuzimanje dodatnih korisnih podataka nakon kompromitacije.
Lanac infekcije od umetanja USB-a do implementacije Korpluga pokazuje sekvencijalne korake metodologije napada.
Sigurnosnim timovima se savjetuje da implementiraju stroge politike kontrole USB uređaja, redovno ažuriraju obavještajne podatke o prijetnjama i implementiraju napredna rješenja za zaštitu krajnjih tačaka sposobna za otkrivanje indikatora kompromitacije zasnovanih na ponašanju, umjesto da se oslanjaju isključivo na mehanizme detekcije zasnovane na potpisima.
Organizacije u ciljanim sektorima, posebno vladine institucije i kompanije za pomorski transport, trebale bi pokazati pojačanu budnost i razmotriti implementaciju obuke o sigurnosti usmjerene na fizičke sigurnosne prijetnje poput malicioznih prenosivih medija.
Izvor: CyberSecurityNews
